fragen stichworte

Wird jeder, der über global erreichbare IPs in IPv6 verfügt, eine Art Sicherheits-Alptraum sein?

Possible Duplicate:
Switch to IPv6 and get rid of NAT? Are you kidding?

Ich denke darüber nach, dass in IPv4 meistens nur ein einziger Punkt für die Konfiguration einer Firewall vorhanden ist, hauptsächlich Ihres Routers. Wenn jedoch jeder über eine global zugreifbare IP-Adresse verfügt, bedeutet dies nicht, dass jeder Computer dies bedeutet Benutzer ist grundsätzlich für die Verwaltung der eigenen Firewall verantwortlich?

(Ich gebe zu, dass das gleiche gilt, wenn Sie einen öffentlichen WLAN-Zugangspunkt verwenden, aber trotzdem ...)

antworten

IPv6 behebt NAT, was sicherlich ein großer Teil dazu beigetragen hat, versehentliche Zugriffe auf Dienste durch interne Hosts im Internet zu vermeiden. In diesem Sinne ist es eine Änderung der Art, wie die meisten Leute Dinge tun.

Es bedeutet jedoch nicht, dass Sie am Netzwerkrand keine zentrale Firewall haben. Die Änderung besteht einfach darin, dass sie als reine Firewall und nicht als Firewall/NAT-Gerät fungiert. Es liegt nur an den Personen, die diese Firewalls verwalten, um sicherzustellen, dass nicht versehentlich Dienste angezeigt werden. feuere die Ablehnungsregeln an!

Das Entfernen von NAT ist eine große Änderung der Sicherheitspraktiken im Netzwerk. Es wird sicherlich vor einiger Zeit zuweilen von versehentlichen Verstößen gegen Informationen durch falsche Konfigurationen von Firewalls und IPv6-Nachrichten berichten. Aber NAT war schon immer ein Hacker, und die Firewalls aus der Aufgabe herauszuholen, all diese Verbindungen und gefälschten Verbindungen für zustandslose Protokolle und Port-Übersetzungen zu verfolgen, wird auf lange Sicht eine gute Sache sein - weniger Komplexität klingt für mich gut!

Nein, es ist kein Albtraum. NAT- und private Adressen wurden aus Sicherheitsgründen nicht erstellt. Sie wurden erstellt, weil die IPv4-Adressen ausgehen.

Ich gebe zu, dass die Verwendung öffentlicher IPs unheimlich ist, aber aus Sicherheitsgründen sollten Sie Ihrem FIREWALL nicht Ihrem NAT vertrauen.

Lesen Sie diese weitere Frage zum Serverfehler zu diesem Punkt. Viele Standards, die über NAT als Sicherheit sprachen, haben sich geändert, zum Beispiel wurden die PCI-DSS-Standards Ende Oktober 2010 geändert und die NAT-Anforderung wurde entfernt (Abschnitt 1.3.8 von v1.2).

Wenn Sie diese Angst nicht aufhalten, werden Sie niemals alle Vorteile unglaublicher Technologien wie Windows 7 Direct Access haben.

Jeder Computer sollte bereits für die Verwaltung seiner eigenen Firewall verantwortlich sein.

das heißt, nur weil Sie NAT verlieren, bedeutet das nicht, dass Sie alle Vorteile verlieren (Sie können immer noch NAT auf ipv6 haben) Sie können immer noch Stateful-Firewalls auf Routern verwenden, und andere Firewall-Regeln können auf ähnliche Weise wie ipv4 hinzugefügt werden.

Der einzige Unterschied besteht darin, dass Sie möglicherweise den genauen Computer in einem privaten Netzwerk identifizieren können. Falls dies ein Problem ist, können Sie NAT installieren.

Es ist immer noch möglich, zufällige Portscans ect .. von einem Router

zu blockieren

Diese Frage basiert auf dem verbreiteten Missverständnis, dass NAT eine Firewall-Technologie ist, weil versehentlich etwas Sicherheit geboten wird. Dieses Missverständnis kann mit einem einfachen Gedankenexperiment aufgehoben werden: Stellen Sie sich eine IPv4-NAT-Box vor, die nur einen Client enthält. Es könnte, wenn er wollte, den gesamten eingehenden Datenverkehr an diesen Client weiterleiten und nichts filtern, was keinerlei Sicherheit bietet. Warum machst du dir dann keine Sorgen?

Viele Universitäten (und mehrere große Unternehmen) haben gültige, routingfähige IPs auf jedem einzelnen Computer. Das bedeutet nicht, dass es kein Gateway-Firewall-Gerät gibt. Es bedeutet nicht, dass Sie dieses Gerät auch aus dem Internet erreichen können. Meistens sind die Firewalls so eingestellt, dass sie den gesamten Datenverkehr standardmäßig blockieren. Sie garantieren jedoch, dass sich ihr Computer an einer global eindeutigen Adresse befindet.

Wenn Sie NAT verwenden, werden die Dinge einfach nur unangenehm .. IE, Sie wollen ein VPN zwischen Ihnen und Ihrem Kunden einrichten, aber Sie beide haben interne Netzwerke von 192.168.1.x .. das heißt, Sie müssen dann NAT die natted Verbindungen, um sie erscheinen zu lassen, um eine andere interne einzige IP zu sein, die Sachen gerade hässlich werden in Eile macht. (Ich muss das mit 5 anderen Firmen tun, mit denen wir VPNs haben)